【明報專訊】國泰航空及子公司港龍航空泄約940萬名乘客資料，私隱專員公署昨發表調查報告指出，國泰違反《私隱條例》的保障資料原則，點出國泰七大資料保安問題，包括沒發現廣為人知的伺服器保安漏洞，管理員控制台埠又可從互聯網進入，為攻擊者開大門，遷移數據中心更建立未經加密的數據庫備份檔案等，導致資料外泄。同時，亞洲萬里通會員計劃的核實措施早於2005年已停止，但24萬個身分證號碼卻保留逾13年。

備份沒加密 24萬身分證保留13年

私隱專員黃繼兒批評，國泰除違規之外，在數據管治上明顯掉以輕心，未能達到乘客和監管機構的期望。國泰昨回應稱，正審慎考慮報告，並再就事件表示道歉。

2014起泄資料 2018始知

調查報告顯示，國泰有逾120個系統載有個人資料，當中4個系統受事件影響，被裝鍵盤側錄惡意程式的系統早在2014年10月已泄資料，至2018年3月，即國泰公布發現可疑活動的時間，曾發生暴力攻擊，即有人嘗試所有可能性破解加密等，當時有逾500名職員用戶被強制登出，國泰始知事件展開內部調查。

私隱專員公署昨表示國泰違反《私隱條例》下有關個人資料保安，以及資料保留的資料保障原則，向國泰送達執行通知，指示國泰糾正以及防止違規情�G再發生。若國泰不依從執行通知，最高罰款5萬元及監禁2年。

令聘獨立專家檢修 設多重認證

公署指示國泰執行多項措施，包括聘請獨立資料保安專家徹底檢修載有個人資料的系統、為所有會存取相關資訊系統的遙距使用者施行多重身分認證，並承諾定期檢視遙距存取的權限、定期在伺服器和應用程式層面作有效的漏洞掃描、聘獨立資料保安專家定期檢視或測試網絡保安，以及制定清晰資料保留政策，訂明每個系統內的乘客資料的保留期限，不超過所需目的等。

政府研修例強制通報 議員批太慢

國泰在確認出事7個月後才通報，政制及內地事務局昨發稿稱，現時法例沒強制要求機構就個人資料外泄通報，政府會在研究修訂《私隱條例》時，考慮設立強制性個人資料外泄通報機制。

政府沒交代修訂《私隱條例》時間表，立法會資訊科技及廣播事務委員會副主席莫乃光批評修例步伐太慢，預期修訂必定引起商界反彈，若政府有決心修例，應盡快諮詢，做好前期準備工夫，到立法會暑假休會後再提出修例，可省時間，「好過到時又話未諮詢，不知拖到何時才可提交法案」。